Le réseau interne

stratégie permet de rendre les informations d’un groupe réellement inaccessibles
aux autres groupes et ce, dès les couches basses TCP/IP. Pour ce faire, on doit
évidemment utiliser des firewalls (logiciels ou routeurs) et les configurer de
sorte qu’aucun groupe ne puisse communiquer avec l’autre.
Il faut aussi créer une zone d’accès non restreint pour permettre le dialogue
entre les groupes sans pour autant ouvrir des portes. La figure 1 représente un
exemple d’architecture de réseau interne.

Dans la figure 1, le réseau a été divisé en quatre groupes s’articulant autour
du point central qu’est le routeur. Chaque départ du routeur est reparti par un
hub ou mieux, un switch administrable (plus coûteux mais garantissant une qualité
optimale de bande passante ainsi qu’un meilleur control des flux).Nous pouvons
ainsi effectuer deux étages de contrôles. Le premier au niveau du routeur, concernant
la direction des flux et le deuxième au niveau du firewall, concernant la gestion
de l’espace partagé.

Les politiques à  mettre en place sur le routeur sont relativement simples :
· Aucune des quatre zones en mauve n’a accès a une autre zone mauve d’administration.
· Aucune des quatre zones en mauves n’a accès a la machine d’administration.
· Toutes les zones ont accès a l’espace partagé (derrière le firewall).
· La machine d’administration a accès à  toutes les zones.
· La zone d’espace partagé, n’a accès à  aucune zone, sauf en réponse à  une requête.

Cette configuration permet qu’aucune donnée ne soit directement visible d’une
zone à  l’autre tout en permettant la communication entre ces zones via l’espace
partagé (décrit plus tard). Autre avantage, le routeur jouant aussi le rôle de
filtre, il devient impossible de scanner les ports d’une machine hors-zone ou
même de sniffer le réseau d’une autre zone que la sienne. La liberté d’un poste
s’arrête au routeur.

La gestion de la zone d’espace partagé est plus délicate. Comme elle permet les
échanges entre les autres zones, c’est un point sensible. C’est pourquoi il vaut
lieux placer un firewall à  l’entrée afin d’effectuer ici un filtrage par IP. Il
faut tout d’abord prendre deux précautions : la première est d’attribuer les adresses
IP par plage (par exemple 10.0.*.* pour le siège, 10.1.*.* pour les commerciaux).

Ceci simplifiera grandement l’administration du routeur et du firewall. La deuxième
précaution est de ne pas autoriser un flux venant d’une mauvaise plage IP sur
une patte du routeur. Ceci évitera que quelqu’un du groupe Commercial ayant, volontairement
ou non, adopté une adresse IP appartenant à  la classe Siège, puisse accéder à 
la zone d’espace partagé en se faisant passer pour un de ces derniers. Dans notre
cas, il serait arrêté par le routeur.

L’espace partagé ne doit pas héberger toutes les ressources partagées de l’entreprise,
bien au contraire. Son utilité est de partager ce que l’on veut faire passer d’une
zone a une autre. Le firewall permet quant à  lui quelques astuces comme de donner
des accès à  des serveurs de mail spécifiques pour chaque groupe (soit plusieurs
machines, soit plusieurs serveurs tournant sur des ports différents), ou tout
simplement de surveiller et de journaliser tout ce qui ce passe.
Bien penser le réseau, élimine les problèmes dus au partage de disques ou de fichiers
ainsi que les insécurités relatives au courrier électronique. Il limite aussi
considérablement l’impact d’un éventuel virus (qui aurait déjoué tous vos anti-virus
installés sur tous les serveurs ?!) en cloisonnant sa propagation ; à  l’exception
de ceux qui se propagent par courrier électronique.

Pour avoir la conscience tranquille, il ne reste plus qu’a veiller à  la sécurité
des systèmes en consultant régulièrement des sites comme www.securityfocus.com
afin de s’informer de toutes les nouvelles failles ainsi que des nouvelles solutions.
Notons à  ce sujet qu’il est plus judicieux, dans le cas de Windows NT/2000, d’installer
la version anglaise : les services pack qui corrigent les failles découvertes
ne sont disponibles que bien plus tard en français.